1/1BT下載過程解析摘要：

BT是目前最熱門的下載方式之一。

就HTTP、FTP、PUB等下載方式而言，一般都是首先將文件放到服務器上，然后再由服務器傳送到每位用戶的機器上，該軟件相當?shù)奶厥猓话阄覀兿螺d檔案或軟件，大都由HTTP站點或FTP站臺下載，若同時間下載人數(shù)多時，基于該服務器頻寬的因素，速度會減慢許多，而該軟件卻不同，恰巧相反，同時間下載的人數(shù)越多你下載的速度便越快，因為它采用了多點對多點的傳輸原理。

本文將具體分析在BT中利用Sniffer對數(shù)據(jù)監(jiān)聽的,從中分析出BT下載所占帶寬。

并通過對HTTP代理對應用層協(xié)議進行過濾實現(xiàn)對BT的封殺的過程。

關(guān)鍵詞：

BT、Tracker、HTTP代理一什么是BT定義BT是目前最熱門的下載方式之一，它的全稱為BitTorrent簡稱BT，中文全稱比特流，但很多朋友將它戲稱為變態(tài)下載。

BitTorrent（簡稱BT，俗稱BT下載、變態(tài)下載）是一個多點下載的源碼公開的P2P軟件，使用非常方便，就像一個瀏覽器插件，很適合新發(fā)布的熱門下載。

其特點簡單的說就是：

下載的人越多，速度越快。

BitTorrent下載工具軟件可以說是一個最新概念P2P的下載工具、它采用了多點對多點的原理，一般簡稱BT(BitTorrent)也就是大家所說的變態(tài)下載。

該軟件相當?shù)奶厥猓话阄覀兿螺d檔案或軟件，大都由HTTP站點或FTP站臺下載，若同時間下載人數(shù)多時，基于該服務器頻寬的因素，速度會減慢許多，而該軟件卻不同，恰巧相反，同時間下載的人數(shù)越多你下載的速度便越快，因為它采用了多點對多點的傳輸原理。

二BT下載過程解析傳統(tǒng)的文件下載服務如FTP或者HTTP都有一個提供FTP或HTTP應用程序的服務器，該服務器存放用戶需要的文件；一般用戶作為客戶端，使用FTP或HTTP客戶端程序主動連接服務器，在獲得授權(quán)后即可從服務器下載文件。

這種典型的客戶端/服務器模式對于文件的合法性、安全性可以很好的控制，但有致命的缺點，當有多個用戶同時訪問服務器時，由于服務器的性能因素、服務器連接廣域網(wǎng)出口的帶寬因素等，會導致用戶的訪問速度急速下降。

另外，在客戶端/服務器模式下用戶主要使用網(wǎng)絡的下行帶寬，即從服務器到用戶主機的帶寬，而上行帶寬即從用戶主機到服務器的帶寬利用率非常低，造成了帶寬資源的浪費。

在BT世界中，所有用戶同時扮演客戶端和服務器雙重角色，當下載的時候，同時使用上行帶寬將已經(jīng)下載的文件部分傳送到其他用戶；BT同時應用多進程技術(shù)，可以從多個下載源也稱為種子的用戶主機上同時進行多個下載。

因此，下載的用戶越多，也即種子越多，從而下載的速度就越快。

BT應用中需要Web服務器和Tracker服務器。

Web服務器只負責torrent文件的發(fā)布，Tracker服務器用于管理BT客戶端的連接，兩種服務器并不需要存放下載文件，因此不會在服務器和用戶主機間產(chǎn)生下載流量；而用戶之間則建立直接端到端的TCP連接，用于傳輸文件內(nèi)容。

BT下載過程可以分為三個階段：

一是從Web服務器獲取torrent文件階段，二是從Tracker服務器下載種子列表以及反向連接驗證階段，三是BT客戶端之間數(shù)據(jù)傳輸階段。

第一階段和普通的HTTP訪問Web頁面完全一樣，沒有明顯的特征，但是有經(jīng)驗的網(wǎng)絡管理員可以判斷出哪些熱門Web站點會發(fā)布torrent文件，從而在某些場合可以通過禁止這些Web站點的訪問來禁止BT。

第二階段一般也采用HTTP的形式進行，Tracker服務器使用的端口通常是TCP的81、82、6969、8000、8001、8080，Tracker通過HTTP的GET命令參數(shù)來接收信息，而響應給客戶端的是Bencoded編碼的消息，在HTTP請求的報文中攜帶了BT的特征數(shù)值User-Agent：

BitTorrent，通過這些可以識別出BT客戶端和Tracker服務器通信的數(shù)據(jù)流。

BT下載過程的前兩個階段是下載的準備階段，此過程中的數(shù)據(jù)流量較小，但信息很關(guān)鍵，禁止這些數(shù)據(jù)流的通信則意味著BT下載無法進行，因此通過這些數(shù)據(jù)包的特征識別出BT業(yè)務流在很多場合無法使用。

第三階段是BT客戶端之間的數(shù)據(jù)傳輸階段，也是真正的下載階段。

在下載階段BT客戶端之間會端到端的建立連接，并且一直維持到一塊數(shù)據(jù)的完成再拆除連接。

早期的BT應用程序默認的使用TCP的傳輸端口6881～6889，這時可以簡單的根據(jù)端口號來識別一個BT流。

但最新的BT應用程序為了防止被探測而允許用戶隨意修改TCP的端口號，因而基于傳輸層端口號的識別方法不再有效。

三、BT下載的危害3．1、對硬盤的損害BT三大指控：

高溫、重復讀寫、扇區(qū)斷塊。

Bittorrent下載是寬帶時代新興的P2P交換文件模式，各用戶之間共享資源，互相當種子和中繼站，俗稱BT下載。

由于每個用戶的下載和上傳幾乎是同時進行，因此下載的速度非常快。

不過，開發(fā)BT的人因為缺乏對維護硬盤的考慮，使用了很差的HASH算法,它會將下載的數(shù)據(jù)直接寫進硬盤(不像FlashGet等下載工具可以調(diào)整緩存，到指定的數(shù)據(jù)量后才寫入硬盤)，因此造成硬盤損害，提早結(jié)束硬盤的壽命。

此外，BT下載事先要申請硬盤空間，在下載較大的文件的時候，一般會有2~3分鐘時間整個系統(tǒng)優(yōu)先權(quán)全部被申請空間的任務占用，其他任務反應極慢。

有些人為了充分利用帶寬，還會同時進行幾個BT下載任務，此時就非常容易出現(xiàn)由于磁盤占用率過高而導致的死機故障。

因為BT對硬盤的重復讀寫動作會產(chǎn)生高溫，令硬盤的溫度升高，直接影響硬盤的壽命。

而當下載人數(shù)愈多，同一時間讀取你的硬盤的人亦愈多，硬盤大量進行重復讀寫的動作，加速消耗。

基于對硬盤工作原理的分析可以知道，硬盤的磁頭壽命是有限的，頻繁的讀寫會加快磁頭臂及磁頭電機的磨損，頻繁的讀寫磁盤某個區(qū)域更會使該區(qū)溫度升高，將影響該區(qū)磁介質(zhì)的穩(wěn)定性還會導至讀寫錯誤，高溫還會使該區(qū)因熱膨漲而使磁頭和碟面更近了（正常情況下磁頭和碟面只有幾個微米，高溫膨脹會讓磁頭更靠近碟面），而且也會影響薄膜式磁頭的數(shù)據(jù)讀取靈敏度，會使晶體振蕩器的時鐘主頻發(fā)生改變，還會造成硬盤電路元件失靈。

任務繁多也會導至ide硬盤過早損壞，由于ide硬盤自身的不足，過多任務請求是會使尋道失敗率上升導至磁頭頻繁復位（復位就是磁頭回復到0磁道，以便重新尋道）加速磁頭臂及磁頭電機磨損。

因此有些人形容，BT就像把單邊燃燒的柴枝折開兩、三段一起燃燒，大量的讀寫動作會大大加速硬盤的消耗，燃燒硬盤的生命。

其次，同時因為下載太多東西，使扇區(qū)的編排混亂，讀寫數(shù)據(jù)時要在不同扇區(qū)中讀取，增加讀寫次數(shù)，加速硬盤消耗。

3．2、對網(wǎng)絡帶寬的損害當前，以BitTorrent(以下簡稱BT)為代表的P2P下載軟件流量占用了寬帶接入的大量帶寬，據(jù)統(tǒng)計已經(jīng)超過了50%。

這對于以太網(wǎng)接入等共享帶寬的寬帶接入方式提出了很大的挑戰(zhàn)，大量的使接入層交換機的端口長期工作在線速狀態(tài)，嚴重影響了用戶使用正常的Web、E-mail以及視頻點播等業(yè)務，并可能造成重要數(shù)據(jù)無法及時傳輸而給企業(yè)帶來損失。

因此，運營商、企業(yè)用戶以及教育等行業(yè)的用戶都有對這類流量進行限制的要求。

BT將會占用太多的網(wǎng)絡資源，從而有可能在接入網(wǎng)、傳輸網(wǎng)、骨干網(wǎng)等不同層面形成瓶頸，造成資源緊張，這似乎也是目前運營商包括網(wǎng)通、長寬等封掉BT端口的最大理由。

3．3、助長了病毒的傳播2005年11月17日，公安部公共信息網(wǎng)絡安全監(jiān)察處許劍卓處長在天津AVAR2005大會上做了《中國網(wǎng)絡犯罪現(xiàn)狀》的報告，報告指出，通過計算機病毒和木馬進行的黑客行為是計算機網(wǎng)絡犯罪的主要根源。

調(diào)查情況表明，計算機病毒除了通過常規(guī)的電子郵件等途徑傳播外，目前網(wǎng)絡上盛行的P2P軟件成為計算機病毒和木馬傳播的主要途徑。

這些病毒和木馬對企業(yè)的安全形成巨大的挑戰(zhàn)。

3．4、可能面臨著版權(quán)侵害的風險FredLawrence是一個美國普通老人，因為自己孫子的緣故惹來了美國電影協(xié)會（MPAA）的大麻煩。

Lawrence的孫子通過iMeshP2P服務在家中的電腦下載并分享了4部電影，美國電影協(xié)會通過IP地址找到了他和他的電腦，并以侵犯版權(quán)為由要求老人為此在18個月中付出4000美元的罰金；54現(xiàn)在國內(nèi)外都在嚴厲打擊盜版，不排除版權(quán)作者或機構(gòu)通過各種網(wǎng)絡跟蹤技術(shù)來找到非法進行P2P下載的用戶，并提起訴訟或者其他賠償要求；如果企業(yè)員工進行了這些行為，可能由此對企業(yè)的形象造成極大負面影響，并可能使得企業(yè)遭受其他損失！此外，員工可能通過BT等下載一些色情、反動、暴力的等違法的信息，這些信息可能被公安機關(guān)檢測到，由此可能給員工和企業(yè)帶來法律風險。

四管住局域網(wǎng)內(nèi)的BT下載BT下載以其獨特的優(yōu)勢受到廣大用戶的喜愛，它在下載的同時還為其他用戶提供上傳，因此下載的人越多，它的速度越快。

不過，麻煩也隨之而來，如果多個用戶同時使用BT進行下載，會占用大量網(wǎng)絡帶寬，嚴重影響其他用戶的正常工作。

我們可以嚴格限制用戶的BT下載流量或完全禁止BT下載。

4．1限制帶寬BT之所以會危害到局域網(wǎng)，是因為它占用了大量網(wǎng)絡帶寬。

因此，限制每個用戶使用的網(wǎng)絡帶寬，可以明顯緩解BT對網(wǎng)絡的危害。

筆者以大家常用的代理軟件CCProxy為例，對用戶帶寬進行限制。

在服務器端的CCProxy主窗口中，點擊賬號按鈕，彈出賬號管理對話框，在屬性欄的允許范圍中選擇允許部分，接著點擊新建按鈕，彈出賬號對話框。

接下來，限制IP地址為2的客戶機的帶寬。

在IP地址/IP段中輸入該IP地址(圖1)，然后設置最大連接數(shù)，默認為-1，就是不進行任何限制，在此輸入5，這樣客戶機只能和代理服務建立5個連接，也就可以限制BT下載時使用的線程數(shù)。

接著在帶寬(字節(jié)/秒)欄中為客戶設置最大的網(wǎng)絡帶寬，如限制為100KB/s，則可輸入102400，最后點擊確定按鈕。

這樣該客戶機只能使用100KB/s的帶寬，而且它和代理服務器最多只能建立5個連接。

其它客戶機的限制方法與此相同，不再贅述。

(圖1)4．2徹底封閉BT下載解決BT對局域網(wǎng)的危害，最徹底的方法是不允許進行BT下載，BT一般使用TCP的6881～6889的端口。

由于個人網(wǎng)絡防火墻只能封閉本機的BT端口，對局域網(wǎng)用戶無效，筆者就采用ISA2004封閉BT端口。

在ISA控制臺窗口中，右鍵點擊防火墻策略，選擇新建訪問規(guī)則，彈出訪問規(guī)則向?qū)υ捒颍谠L問規(guī)則名稱欄中輸入禁用BT，點擊下一步按鈕后，選擇拒絕選項，接著在協(xié)議對話框中選擇所選的協(xié)議。

點擊添加按鈕，在添加協(xié)議對話框中點擊新建協(xié)議，彈出協(xié)議定義向?qū)υ捒颍诿Q欄中輸入BT，點擊下一步按鈕，進入首要連接信息對話框。

點擊新建，彈出新建/編輯協(xié)議連接對話框(圖2)，在協(xié)議類型中選擇TCP，選擇方向為入站，端口范圍為從6881到6889，然后點擊確定按鈕，接下來一路點擊下一步按鈕，即可完成BT協(xié)議的定義。

(圖2)接著在添加協(xié)議對話框中展開用戶定義，并添加BT協(xié)議(圖3)，點擊下一步按鈕后，指定訪問規(guī)則源。

點擊添加按鈕，彈出添加網(wǎng)絡實體對話框，展開網(wǎng)絡目錄，選擇內(nèi)部。

點擊添加按鈕，接著點擊下一步按鈕，設置訪問規(guī)則目標，在網(wǎng)絡實體對話框中展開網(wǎng)絡目錄，添加外部，然后進入用戶集對話框，選擇所有用戶并點擊完成按鈕。

(圖3)最后在防火墻策略窗口中選中這一規(guī)則，并點擊上方的應用按鈕(圖4)。

這樣局域網(wǎng)內(nèi)的用戶就不能進行BT下載了。

但該方法也有不足之處，如果BT軟件使用的不是6881～6889的端口，該規(guī)則就會失效。

由于BT端口是可改變的，所以一旦BT下載端口發(fā)生改變，你就得立即查到新的端口，并將它封掉。

(圖4)加載PDLM模塊使用Cisco公司出品的PDLM模塊可以省去我們配置路由策略的工作,封鎖效果非常好。

上文介紹的兩種方法，一個是對數(shù)據(jù)包的目的地址進行封鎖，一個是對數(shù)據(jù)包使用的端口進行封鎖，雖然在一定范圍內(nèi)有效，但不能起到全面禁止BT的作用，通過PDLM+NBAR的方法來封鎖BT就存在這個問題了。

Cisco在其官方網(wǎng)站上提供了三個PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm和emonkey.pdlm，可以用來封鎖KAZAA、BT、電驢。

在此我們以封鎖BT下載為例。

建立一個TFTP站點,將bittorrent.pdlm復制到該站點,在核心路由器中使用ipnbarpdlmtftp://TFTP站點的IP/bittorrent.pdlm命令加載bittorrent.pdlm模塊。

接下來設置路由策略,具體命令如下:class-mapmatch-anybitBITmatchprotocolbittorrent準!policy-maplimit-bit//創(chuàng)建一個POLICY-MAP名為LIMIT-BITclassbit//要求符合剛才定義的名為BIT的CLASS-MAPdrop//如果符合則丟數(shù)據(jù)包!interfacegigabitEthernet0/2//進入網(wǎng)絡出口那個接口service-policyinputlimit-bit//當有數(shù)據(jù)包進入時啟用LIMIT-BIT路由策略service-policyoutputlimit-bit//當有數(shù)據(jù)包出的時候啟用LIMIT-BIT路由策略如果不想每次啟動路由器時都要手工加載TFTP上的bittorrent.pdlm,可以把這個PDLM文件上傳到路由器的Flash中,然后選擇TFTP服務器的IP地址即可。

值得提醒大家的是,封鎖KAZAA或者是EDONKEY時,在路由器配置中將matchprotocol后的bittorrent替換為KAZAA2或者EDONKEY即可,其他配置和封鎖BT一樣,通過NBAR加載PDLM模塊法封鎖BT軟件后,已經(jīng)完全斷絕了BT流量,網(wǎng)絡速度也恢復到以前的穩(wěn)定值了。

限制NAT的單用戶連接數(shù)在CiscoIOS12.3(4)T后的IOS軟件上支持NAT的單用戶限制，即可以對做地址轉(zhuǎn)換的單個IP限制其NAT的表項數(shù)，因為P2P類軟件如BT的一大特點就是同時會有很多的連接數(shù)，從而占用了大量的NAT表項，因此應用該方法可有效限制BT的使用，比如我們?yōu)镮P設置最大的NAT表項數(shù)為200；正常的網(wǎng)絡訪問肯定夠用了，但如果使用BT，那么很快此IP的NAT表項數(shù)達到200，一旦達到峰值，該IP的其他訪問就無法再進行NAT轉(zhuǎn)換，必須等待到NAT表項失效后，才能再次使用，這樣即有效地保護了網(wǎng)絡的帶寬，同時也達到了警示的作用。

例如限制IP地址為的主機NAT的條目為200條，配置如下：

ipnattranslationmax-entrieshost200如果想限制所有主機，使每臺主機的NAT條目為200，可進行如下配置：

ipnattranslationmax-entriesall-host200使用HTTP代理過濾應用層協(xié)議當BT客戶端下載時，必須進行Tracker查詢，Tracker通過HTTP的GET命令的參數(shù)來接收信息，而響應給對方(下載者)的是Bencoded編碼的消息。

在HTTP請求報文中，攜帶了BT的特征值User-Agent：

BitTorrent。

針對該情況，網(wǎng)絡管理員可以通過一些安全管理設備以及流量管理設備，甚至網(wǎng)絡管理系統(tǒng)軟件，過濾特定的應用層數(shù)據(jù)包(如HTTP數(shù)據(jù)包)，然后根據(jù)BT數(shù)據(jù)包中的關(guān)鍵字(BitTorrent)，從HTTP數(shù)據(jù)包中過濾BT數(shù)據(jù)包。

控制整體BT下載流量將整體BT下載的流量控制在某個范圍內(nèi)。

如整個校園網(wǎng)絡可以使用的BT下載流量設定為1Mbps。

校園網(wǎng)絡剩余的其他網(wǎng)絡帶寬資源可以給關(guān)鍵業(yè)務或者其他非關(guān)鍵業(yè)務使用，有效地防止BT下載侵吞大量網(wǎng)絡帶寬資源。

以Cisco設備為例，具體命令為：

access-list130remarkbtaccess-list130permittcpanyanyrange68816890access-list130permittcpanyrange68816890anyrate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop限制或禁止在特定時間段內(nèi)的BT下載校園網(wǎng)絡工作時間內(nèi)限制或者禁止BT下載，這樣工作時間內(nèi)不會有BT下載流量和關(guān)鍵業(yè)務競爭，也充分保護了校園網(wǎng)絡關(guān)鍵業(yè)務。

同時，在非工作時間，校園網(wǎng)絡也可以自行利用高速的網(wǎng)絡資源。

以Cisco設備為例，具體命令為：

time-rangetestperiodicdaily20:00to23:00access-list130permittcpanyanyrange68816890